要求提供者聲明不非法獲取用戶數據、控制和操縱用戶系統和設備,或利用用戶對產品的依賴性謀取不正當利益或者迫使用戶更新換代。

應建立和維護合格供應方目錄。應選擇有保障的供應方,防范出現因政治、外交、貿易等非技術因素導致產品和服務供應中斷的風險。

應自行或委托第三方網絡安全服務機構對定制開發的軟件進行源代碼安全檢測,或由供應方 提供第三方網絡安全服務機構出具的代碼安全檢測報告。

長揚科技解讀

由于我國關鍵基礎設施行業例如電力、石油化工、燃氣水務等行業,其核心工業控制系統大部分被國外壟斷,在國內外日益嚴峻的大背景下,為了避免出現因為“卡脖子”而影響關基企業運行安全的事件,供應鏈安全的重要性日益凸顯。本次《要求》新增供應鏈安全,對于國家關鍵信息基礎設施運營者在未來的采購、建設、運行、升級、管理等方面,都提供了有力的要求。

3.2.4 新增數據安全防護

2021年9月1日施行的《中華人民共和國數據安全法》中,第三十一條提到:對關鍵信息基礎設施的運營者在中國境內運營中收集和產生的重要數據進行管理。

《要求》中對于數據安全防護,應建立數據安全管理責任和評價考核制度,包括數據安全保護計劃、數據安全風險評估、數據安全事件應急預案,組織數字安全教育等。同時對數據分類分級、保護個人數據的重要性、數據備份等方面做出要求。另外還首次對廢棄數據處理作出要求,要求按照數據安全保護策略對儲存的數據進行處理。

長揚科技解讀

中央在2020年提出數據已經成為除土地、勞動力、資本、技術之外的第五個要素。《要求》的發布是繼《數據安全法》發布后,再一次把數據安全作為綱領性要求進行了獨立闡述,也詮釋了數據作為關鍵信息基礎設施安全保護的重要性。運營者應加強對數據分類分級管理,以及對數據的使用、加工、傳輸、提供和公開等環節進行全生命周期保護。

3.3 檢測評估

《要求》中對檢測評估的定義為:為檢驗安全防護措施的有效性,發現網絡安全風險隱患,應建立相應的檢測評估制度,確定檢測評估流程及內容等,開展安全檢測與風險隱患評估,分析潛在安全風險可能引發的安全事件。

長揚科技解讀

對比等保2.0要求可以發現,“商用密碼應用安全性評估情況、數據安全防護情況、供應鏈安全保護情況、攻防演練”等內容,首次作為檢測評估項被明確提出,由此可見,在未來的關保檢查工作當中,運營者需要重點關注在以上方面自身的能力建設,彌補相關短板。

3.3.1 檢測評估工作流程

檢測評估工作開展前,應明確關鍵信息基礎設施檢查評估活動的背景、目標、原則、依據,充分調研檢測評估對象所屬行業的相關標準及政策文件的要求,確定檢測評估工作任務。具體工作流程如下圖所示:

圖7 關基檢測評估工作流程圖